# Oracle Label Security
Amazon RDS es compatible con Oracle Label Security para Enterprise Edition de Oracle Database con la opción OLS.
La mayoría de los sistemas de seguridad de bases de datos controlan el acceso en el nivel de objeto. Oracle Label Security proporciona un control de acceso muy preciso a cada una de las filas de las tablas. Por ejemplo, puede utilizar Label Security para imponer el cumplimiento de las normativas mediante un modelo de administración basado en políticas. Puede utilizar las políticas de Label Security para controlar el acceso a la información confidencial y restringirlo únicamente a los usuarios con el nivel adecuado. Para obtener más información, consulte [Introduction to Oracle Label Security](https://docs.oracle.com/database/121/OLSAG/intro.htm#OLSAG001) en la documentación de Oracle.
**Topics**
+ [Requisitos de Oracle Label Security](#Oracle.Options.OLS.PreReqs)
+ [Factores importantes al utilizar Oracle Label Security](#Oracle.Options.OLS.Using)
+ [Adición de la opción Oracle Label Security](#Oracle.Options.OLS.Add)
+ [Solución de problemas](#Oracle.Options.OLS.Troubleshooting)
## Requisitos de Oracle Label Security
Familiarícese con los siguientes requisitos para Oracle Label Security:
+ La instancia de base de datos debe utilizar el modelo Bring Your Own License (BYOL, "Traiga su propia licencia"). Para obtener más información, consulte [Opciones de licencias de RDS para Oracle](Oracle.Concepts.Licensing.md).
+ Debe tener una licencia válida de Oracle Enterprise Edition con Software Update License and Support.
+ La licencia de Oracle debe incluir la opción Label Security.
## Factores importantes al utilizar Oracle Label Security
Para utilizar Oracle Label Security, debe crear políticas que controlen el acceso a determinadas filas de las tablas. Para obtener más información, consulte [Creating an Oracle Label Security Policy](https://docs.oracle.com/database/121/OLSAG/getstrtd.htm#OLSAG3096) en la documentación de Oracle.
Considere lo siguiente:
+ Oracle Label Security es una opción permanente y persistente. Puesto que la opción es permanente no se puede quitar de un grupo de opciones. Si agrega Oracle Label Security a un grupo de opciones y lo asocia a su instancia de base de datos, más adelante podrá asociar un grupo de opciones diferente a su instancia de base de datos, pero este grupo también deberá contener la opción Oracle Label Security.
+ Cuando se utiliza Label Security, todas las acciones se realizan con el rol `LBAC_DBA`. Al usuario maestro de la instancia de base de datos se le concede el rol `LBAC_DBA`. Es posible conceder el rol `LBAC_DBA` a otros usuarios para que puedan administrar las políticas de Label Security.
+ Asegúrese de conceder acceso al paquete `OLS_ENFORCEMENT` a cualquier usuario nuevo que requiera acceso a Oracle Label Security. Para conceder acceso al paquete `OLS_ENFORCEMENT`, conéctese a la instancia de base de datos como usuario maestro y ejecute la siguiente instrucción SQL:
```
GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;
```
+ Puede configurar Label Security a través de Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS es compatible con OEM Cloud Control mediante la opción Management Agent. Para obtener más información, consulte [Oracle Management Agent para Enterprise Manager Cloud Control](Oracle.Options.OEMAgent.md).
## Adición de la opción Oracle Label Security
El proceso general para añadir la opción Oracle Label Security a una instancia de base de datos es el siguiente:
1. Cree un grupo de opciones nuevo o copie o modifique un grupo de opciones existente.
1. Añada la opción al grupo de opciones.
**importante**
Oracle Label Security es una opción permanente y persistente.
1. Asocie el grupo de opciones a la instancia de base de datos.
Después de añadir la opción Label Security, esta se activará en cuanto se active el grupo de opciones.
**Para agregar la opción Label Security a una instancia de base de datos**
1. Determine el grupo de opciones que desea utilizar. Puede crear un grupo de opciones o utilizar uno existente. Si desea utilizar un grupo de opciones existente, vaya al siguiente paso. De lo contrario, cree un grupo de opciones de base de datos personalizado con las siguientes opciones:
1. En **Engine**, elija **oracle-ee**.
1. En **Major engine version (Versión principal del motor)**, elija la versión de su instancia de base de datos.
Para obtener más información, consulte [Creación de un grupo de opciones](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
1. Añada la opción **OLS** al grupo de opciones. Para obtener más información acerca de la adición de opciones, consulte [Agregar una opción a un grupo de opciones](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).
**importante**
Si añade Label Security a un grupo de opciones existente que ya está asociado a una o varias instancias de bases de datos, se reinician todas las instancias de bases de datos.
1. Aplique el grupo de opciones a una instancia de base de datos nueva o existente:
+ Si se trata de una instancia de base de datos nueva, el grupo de opciones se aplica cuando se lanza la instancia. Para obtener más información, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md).
+ Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Cuando se añade la opción Label Security a una instancia de base de datos existente, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).
## Solución de problemas
A continuación se muestran los problemas que pueden presentarse al utilizar Oracle Label Security.
****
| Problema | Sugerencias para la solución de problemas |
| --- | --- |
| Al intentar crear una política, ve un mensaje de error similar al siguiente: `insufficient authorization for the SYSDBA package`. | Un problema conocido de la característica Oracle Label Security impide que los usuarios cuyos nombres tienen 16 o 24 caracteres ejecuten comandos de Label Security. Puede crear otro usuario con un número de caracteres distinto, conceder el rol LBAC\$1DBA a dicho usuario, iniciar sesión con las credenciales de ese usuario y ejecutar los comandos de OLS con ellas. Para obtener más información, póngase en contacto con el servicio de soporte de Oracle. |